ISO27001信息安全体系认证 盘点2020年最大的十起数据泄露事件

受新冠疫情影响和网络犯罪活动的肆掠，2020年网络攻击规模一直稳步增长，创下了新的网络犯罪高峰。

据统计，过去一年全球公开范围报告了3932起安全泄露事件，泄露的记录数量达到惊人的370亿条。相比之下，2019年全球泄露记录为151亿条。

在2020年发生的一系列数据泄露事件中，本文根据泄露规模选出了十大最严重事故。里边有少部分为公网数据库泄露，没有找到数据所有者，但导致了大量敏感数据在网络上快速扩散。另外，有一些违规事件可能实际发生在几年之前，但在2020年才被曝光。

Top 10. 未知（2.01亿条）

2020年1月，安全研究人员发现一个数据库，其中包含超过2亿条被暴露在公共互联网上的敏感-+GE+_+REN记录。目前尚不确定这套暴露在外的数据库究竟归谁所有，其托管在Google Cloud服务器上，包含大量关于美国居民及其财产的高敏感度统计数据，例如姓名、地址、电子邮件地址、信用评级、收入、净值、房地产市场价值、投资偏好以及其他细节信息。

另外，目前无法判断是否已经有未授权方访问过这套数据集，但其中包含的信息确实极具价值。谷歌方面在收到警报的一个多月之后，才着手下线这台服务器。

Top 9. 微软（2.5亿条）

2020年1月，微软表示其用于存储客户支持分析结果的服务器发生数据泄露。此次事件发生在2019年12月，共涉及2.5亿条记录（包括电子邮件地址、IP地址以及客户支持案例的详细描述），所有数据在未经密码保护的情况下被意外公开。

这个泄露的数据库由5台ElasticSearch服务器组成，用于简化搜索操作。微软方面发现意外暴露源自安全规则的错误配置，并快速完成了修复工作。

Top 8. Wattpad (2.68亿条)

2020年6月，一个包含超过2.68亿条记录的数据库遭遇入侵。相关记录归属于加拿大的写作博客平台Wattpad，用户可以发布各类原创文章。恶意攻击者入侵了Wattpad的SQL数据库，其中包含用户账户凭证、电子邮件地址、IP地址以及其他敏感数据。事件曝光之后，该公司很快重置了用户密码。

Top 7. Broadvoice (3.5亿条)

2020年10月，有消息称美国VoIP服务供应商Broadvoice泄露超过3.5亿条客户记录，其中包括用户姓名、电话号码、通话记录以及留给医疗机构及金融服务公司的语音邮件。

由于配置错误，安全研究人员得以轻松访问该公司掌握的10套数据库，期间无需任何身份验证即可轻松访问。Broadvoice方面很快修复了安全漏洞，并将事件通报给相关法律部门。

Top 6. 雅诗兰黛（4.4亿条）

2020年1月，美国化妆品巨头雅诗兰黛一套未受保护的数据库将4.4亿条内部记录意外暴露在互联网上。发现这套未加密数据库的研究员表示，其中暴露的信息包括电子邮件地址、内部文档、IP地址以及该公司内部教育平台的相关信息。在发现问题后，该公司立即关闭了这套数据库。

Top 5. 新浪微博（5.38亿条）

据报道，中国最大的社交媒体平台新浪微博于2020年3月遭遇信息泄露，超过5.38亿用户的-+GE+_+REN信息被摆在暗网及其他在线网站上公开销售。

泄露事件的具体发生时间尚不清楚，但据推测很可能将追溯至2019年。黑客方面声称，这些敏感数据（包括1.72亿用户的昵称、性别、居住地以及电话号码）是从官方平台抓取获得。

Top 4. Whisper (9亿条)

2020年3月，高人气秘密分享应用Whisper将9亿条用户记录暴露在网上。除了大量匿名文本以及与内容相关的元数据以外，泄露的信息还包括位置坐标及其他敏感数据。所有信息都可在未经密码保护的公共数据库上直接查看。一旦黑客掌握这些信息，很可能识别出特定用户的身份甚至实施勒索。在获悉事件之后，该公司很快关闭了数据访问通道。

Top 3. Keepnet Labs (50亿条)

2020年3月，总部位于英国的网络安全厂商Keepnet Labs遭遇网络违规事件。某承包商临时开放了一套数据库，其中包含此前在数据泄露调查中收集到的50亿个电子邮件地址与密码。

根据该公司的介绍，该公司主要业务就是收集历史违规数据并通知商业客户，帮助对方预防数据威胁。但为了加快执行流程，该公司在迁移ElasticSearch数据库时会临时将防火墙关闭10分钟。这个危险的决定导致安全研究人员能够通过不受保护的端口，以无需密码的方式轻松访问数据。

Top 2. Advanced Info Service (83亿条)

2020年5月，泰国最大的GSM手机运营商Advanced Info Service公司在获悉数据泄露事件后，被迫删除了一套数据库。一位安全研究员在网上发现了这套完全开放的ElasticSearch数据库，其中包含多达4 TB、总计83亿条互联网使用活动记录。这些DNS查询与Netflow数据等公开信息可被用于映射用户行为。现在，这套不慎暴露的数据库已经恢复安全状态。

Top 1. CAM4 (108.8亿条)

2020年3月，研究人员在-+cheng+_+REN视频直播网站CAM4上发现一台未受保护的ElasticSearch服务器，其中泄露的7 TB数据包含近110亿条记录。记录内容涵盖多种用户敏感信息，例如全名、电子邮件地址、性取向、聊天与电子邮件清单、密码哈希、IP地址以及付款记录等。目前数据库错误已被修复，但尚不清楚这些高度敏感的-+cheng+_+REN网站用户信息是否已经被黑客掌握。